Das verhängte Bußgeld steht im Zusammenhang mit einer Datenschutzverletzung, die sich bei einem Gesundheitsdienstleister ereignet hat. Auf der Website von Azienda socio sanitaria territoriale Nord di Milano (ASST) wurde für die Buchung von Coronatests das unsichere http-Protokoll anstelle von https verwendet. Zudem lief der Server mit veralteter, unsicherer Software.
Durch das Entfernen der Endung „Prenatazione.php“ aus der URL war es möglich, auf ungeschützte Patientendaten von ASST zuzugreifen. Betroffen waren Personen, die sich für die Grippeimpfung der Saison 2020/21 angemeldet hatten. Dabei wurden unter anderem Namen, Steuernummern und Telefonnummern sowie die Impfstandorte offengelegt.
Die Datenschutzbehörde stellte fest, dass ASST es versäumt hatte, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Schutz dieser sensiblen Daten sicherzustellen. Dies wurde als Verstoß gegen die Anforderungen zur Wahrung der Integrität und Vertraulichkeit gewertet.
Zusätzlich sah die Behörde Art. 33 DSGVO verletzt, da ASST den Vorfall nicht eigenständig meldete. Stattdessen wurde die Behörde erst durch eine Beschwerde eines Betroffenen auf die Datenpanne aufmerksam.
Sanktionsadressat
Azienda socio sanitaria territoriale Nord di Milano
Bußgeld
20.000 EUR
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. f DSGVO
Art. 25 DSGVO
Art. 32 DSGVO
Art. 33 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Italien – Garante per la protezione dei dati personali
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9746448
Rechtssichere Webseite für Unternehmen – Website-Compliance-Check
https://website-compliance.tec4net.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com